FBI發(fā)出安全警告:黑客竊取了美國政府機(jī)構(gòu)和私人企業(yè)的源代碼
2020年11月10日
11月10日訊 據(jù)外媒報(bào)道��,日前���,F(xiàn)BI 發(fā)出了一個(gè)安全警報(bào),其警告威脅行為者正在濫用配置錯(cuò)誤的 SonarQube 應(yīng)用以訪問并竊取美國政府機(jī)構(gòu)和私人企業(yè)的源代碼庫���。
FBI在上個(gè)月發(fā)出并于本周在其網(wǎng)站上公布的一份警告中指出���,至少從2020年4月就已經(jīng)開始了這種類型的攻擊事件����。
該警報(bào)特別警告SonarQube的所有者����。SonarQube是一個(gè)基于web的應(yīng)用,各家公司將其集成到自己的軟件構(gòu)建鏈中�,以便在將代碼和應(yīng)用投入到生產(chǎn)環(huán)境之前測試源代碼并發(fā)現(xiàn)安全缺陷。
SonarQube應(yīng)用被安裝在 web服務(wù)器上并連接到源代碼托管系統(tǒng)�,如 BitBucket、GitHub����、GitLab accounts 或 Azure DevOps systems。
但FBI表示����,一些公司沒有保護(hù)這些系統(tǒng),它們使用的是默認(rèn)的管理憑證(admin/admin)并在默認(rèn)配置(端口 9000)上運(yùn)行����。
FBI官員稱���,威脅者濫用這些錯(cuò)誤配置來訪問 SonarQube 具體目標(biāo)并將其轉(zhuǎn)移到連接的源代碼庫,然后訪問和竊取私有����、敏感的應(yīng)用程序。
FBI 的警告觸及了一個(gè)軟件開發(fā)人員和安全研究人員很少知道的問題���。
網(wǎng)絡(luò)安全行業(yè)經(jīng)常就 MongoDB 或 Elasticsearch 數(shù)據(jù)庫在沒有密碼的情況下暴露在網(wǎng)上的危險(xiǎn)發(fā)出警告�,但 SonarQube 卻沒有受到影響�。然而一些安全研究人員早在 2018 年 5 月就已經(jīng)就讓 SonarQube 應(yīng)用在網(wǎng)上暴露默認(rèn)證書的危險(xiǎn)發(fā)出過警告。
當(dāng)時(shí)��,數(shù)據(jù)泄露獵人 Bob Diachenko 警告稱����,那個(gè)時(shí)候在線可用的約 3000 個(gè) SonarQube 實(shí)例中有 30% 到 40% 沒有啟用密碼或身份驗(yàn)證機(jī)制。
今年�����,瑞士安全研究員 Till Kottmann 也提出了 SonarQube 實(shí)例配置不當(dāng)?shù)耐瑯訂栴}�����。據(jù)悉�,Kottmann 在一年的時(shí)間中通過一個(gè)公共門戶網(wǎng)站收集了數(shù)十家科技公司的源代碼,其中很多都來自SonarQube應(yīng)用程序��。
為了防止這樣的泄露�,F(xiàn)BI 的警告列出了公司可以采取的一系列保護(hù)措施,首先是改變應(yīng)用的默認(rèn)配置和憑證��,然后使用防火墻來防止未經(jīng)授權(quán)的用戶對(duì)應(yīng)用進(jìn)行未經(jīng)授權(quán)的訪問���。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://xufei-js.cn/
免費(fèi)咨詢熱線:400-6776-989
